[ Príspevkov: 7 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 08.12.09
Prihlásený: 24.06.13
Príspevky: 58
Témy: 13 | 13
NapísalOffline : 15.01.2010 16:01 | Hacknutie prihlásenia na webe

Chcel by som sa vás opýtať že ako sa dá stránka hacknúť keď keď dávam na začiatok všetkých zaheslovaných stránok:
Kód:
<?php
session_start();
if ($_SESSION['authuser'] != 1) {
   echo "<p>Nemáte oprávnenie pre vstup do AdminPanelu</p>\n";
   exit();
   }
?>

Demo je tu wsbcms.webscript.biz/admin.php
A prihlásenie : http://wsbcms.webscript.biz/adminlogin.php
Vedel by mi niekdo poradiť že ako mám moje skripty akým zaheslovacím skriptom ochrániť(viac stránok)?
Ďakujem


Offline

Skúsený užívateľ
Skúsený užívateľ
Hacknutie prihlásenia na webe

Registrovaný: 30.05.06
Prihlásený: 08.10.14
Príspevky: 1772
Témy: 35 | 35
Bydlisko: BA - WESTSIDE
NapísalOffline : 15.01.2010 16:31 | Hacknutie prihlásenia na webe

Možností je neúrekom, preštuduj si OWASP, konkrétnejšie WebGoat.


_________________
A. S. Tanenbaum píše:
The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 30.04.09
Prihlásený: 11.02.10
Príspevky: 726
Témy: 81 | 81

hlave sniff a vobec SR system
edit
upravil by som
meno+
heslo+
serverovy cas/algoritmus


Offline

Skúsený užívateľ
Skúsený užívateľ
Hacknutie prihlásenia na webe

Registrovaný: 07.03.06
Prihlásený: 23.01.11
Príspevky: 408
Témy: 2 | 2
Bydlisko: Prešov / Pr...
NapísalOffline : 15.01.2010 18:07 | Hacknutie prihlásenia na webe

Všeobecne je však najmä potreba ošetriť skripty proti základným praktikám ako: SQL injection, Cross Site Scripting, session hijacking, ... Na tieto veci ty vo svojich kódoch absolútne kašleš!

Povinné čítanie:PS: a najmä! Nepoužívať primitívne heslá, ktoré uhádne aj cvičená opica ;)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 08.12.09
Prihlásený: 24.06.13
Príspevky: 58
Témy: 13 | 13
Napísal autor témyOffline : 16.01.2010 12:07 | Hacknutie prihlásenia na webe

Ja take nepouzivam, mozes skusit moj web (nechcem robit reklamu) web.webscript.biz a prihlásiť sa do administrácie, meno je WebScript a heslo je ine ako som tam pouzil, bolo to povodne iba verzia pre skusanie. Alebo moj ucet tu na fore, je tam mam tiez ine heslo.
Ďakujem za dokumentáciu, zase sa niečo nové naučím.
Skúsim niečo porobiť potom ak niečo sa mi podarí tak napíšem.
Ďakujem


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 08.12.09
Prihlásený: 24.06.13
Príspevky: 58
Témy: 13 | 13
Napísal autor témyOffline : 16.01.2010 16:15 | Hacknutie prihlásenia na webe

Chcel by som sa vás opýtať že či by niekdo mi nepridal do skriptu funkciu že keď niekdo trikrát zadá zlé heslo tak bude musieť zadať captchu, alebo sa nebude môcť prihlásiť.
Tu je ten skript:
Kód:
<?php
$heslo = "nepoviem";

session_start();
$pass = htmlspecialchars($_POST['heslo'], ENT_QUOTES);
       
if (($pass == $heslo) or ($_SESSION['authuser'] == 1)) {

   $_SESSION['authuser'] = 1;
   }else {
      echo "<p>Nemáte oprávnění k prohlížení této stránky</p>\n";
      exit();
     
      }
set_time_limit(15);
?>

Ďakujem


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 30.04.09
Prihlásený: 11.02.10
Príspevky: 726
Témy: 81 | 81

Citácia:
<?php
$heslo = "nepoviem";
session_start();
if(!isset($_SESSION['authpokus']))$_SESSION['authpokus]=1;
$pass = htmlspecialchars($_POST['heslo'], ENT_QUOTES);

if (($pass == $heslo) or ($_SESSION['authuser'] ==1)) {

$_SESSION['authuser'] = 1;
}elseif($_SESSION['authpokus]>3;) {
echo "<p>Nemáoprávnění k prohlížení této stránkyte </p>\n";
exit();
}else{
$_SESSION['authpokus]++;
echo "<p>Nemáte oprávnění k prohlížení této stránky</p>\n";

}
set_time_limit(15);
?>


 [ Príspevkov: 7 ] 


Hacknutie prihlásenia na webe



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

phpbb forum, zeby hacknutie?

v Redakčné systémy

16

1800

25.01.2009 11:35

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

Doba prihlásenia

v PHP, ASP

7

292

14.04.2011 0:29

richo9996

V tomto fóre nie sú ďalšie neprečítané témy.

pozadovanie prihlasenia

v Operačné systémy Microsoft

2

319

29.09.2006 21:44

bawy

V tomto fóre nie sú ďalšie neprečítané témy.

[VYRIESENE] dĺžka prihlásenia

v PHP, ASP

9

331

03.03.2009 21:43

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

farba ramu prihlasenia

v HTML, XHTML, XML, CSS

6

448

27.05.2008 18:26

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

PHP kontrola prihlasenia

v PHP, ASP

5

121

30.03.2013 1:09

walther

V tomto fóre nie sú ďalšie neprečítané témy.

Firefox - nepamata si prihlasenia

v Sieťové a internetové programy

10

503

21.11.2008 20:22

Blackshadow

V tomto fóre nie sú ďalšie neprečítané témy.

Zablokovanie prihlasenia sa pouzivatela

v Operačné systémy Microsoft

0

209

05.11.2008 20:31

feiron

V tomto fóre nie sú ďalšie neprečítané témy.

Výpis časov prihlásenia užívateľov

v Operačné systémy Microsoft

5

344

11.11.2006 14:59

johny128

V tomto fóre nie sú ďalšie neprečítané témy.

Spôsob prihlasenia do windowsu xp

v Operačné systémy Microsoft

1

282

25.03.2011 0:39

michalesku

V tomto fóre nie sú ďalšie neprečítané témy.

RDP bez prihlasenia uzivatelskym kontom

v Bezpečnosť a firewally

9

191

10.01.2017 12:47

void

V tomto fóre nie sú ďalšie neprečítané témy.

Rátanie času v profile užívateľa - prihlasenia

v PHP, ASP

6

573

04.07.2006 14:34

scooby

V tomto fóre nie sú ďalšie neprečítané témy.

Windows 7 - Zlyhanie inicializácie procesu prihlásenia

v Operačné systémy Microsoft

7

2445

04.07.2012 11:17

limare

V tomto fóre nie sú ďalšie neprečítané témy.

pomoc s ponukou prihlasenia do siete

v Ostatné programy

1

805

21.05.2006 14:53

matesqo

V tomto fóre nie sú ďalšie neprečítané témy.

Windows 10 zrušenie automatického prihlásenia do konta

v Operačné systémy Microsoft

1

278

26.03.2016 14:24

Yacko

V tomto fóre nie sú ďalšie neprečítané témy.

chyba prihlásenia na zdielaný priečinok resp. vzdialený PC

v Operačné systémy Microsoft

9

114

12.09.2013 18:51

michalesku



© 2005 - 2017 PCforum, edited by JanoF